Raha mikasika ny fanaraha-maso ny fiarovana ny tambajotran'ny orinasa na ny departemanta anatiny, dia maro no mampifandray izany amin'ny fanaraha-maso ny fivoahana vaovao sy ny fampiharana ny vahaolana DLP. Ary raha miezaka manazava ny fanontaniana ianao ary manontany ny fomba hamantarana ny fanafihana amin'ny tambajotra anatiny, dia ny valiny dia, amin'ny ankapobeny, dia miresaka momba ny rafitra fitsikilovana (IDS). Ary ny hany safidy 10-20 taona lasa izay dia lasa anachronisme ankehitriny. Misy mahomby kokoa, ary any amin'ny toerana sasany, ny hany safidy azo atao amin'ny fanaraha-maso ny tambajotra anatiny - mampiasa protocols mikoriana, izay natao tany am-boalohany mba hitady ny tambajotra olana (troubleshooting), fa rehefa nandeha ny fotoana dia niova ho tena mahaliana fitaovana fiarovana. Hiresaka momba ny protocols mikoriana isika ary iza no tsara kokoa amin'ny fijerena ny fanafihana amin'ny tambajotra, izay tsara indrindra amin'ny fampiharana ny fanaraha-maso ny fikorianan'ny rivotra, ny zavatra tokony hotadiavina rehefa mametraka drafitra toy izany, ary na dia ny fomba "manainga" izany rehetra izany amin'ny fitaovana an-trano. ao anatin'ny sahan'ity lahatsoratra ity.
Tsy hipetraka amin'ny fanontaniana hoe "Nahoana no ilaina ny fanaraha-maso ny fiarovana ny fotodrafitrasa anatiny?" Toa mazava ny valiny. Fa raha, na izany aza, dia te-hahazo antoka indray ianao fa androany dia tsy afaka miaina tsy misy izany, lahatsary fohy momba ny fomba ahafahanao miditra amin'ny tambajotran'orinasa voaaro amin'ny firewall amin'ny fomba 17. Noho izany, hihevitra isika fa takatsika fa ny fanaraha-maso anatiny dia zavatra ilaina ary ny hany sisa tavela dia ny fahazoana ny fomba fandaminana azy.
Hanasongadina loharanom-baovao telo lehibe aho amin'ny fanaraha-maso ny fotodrafitrasa eo amin'ny sehatry ny tambajotra:
- fifamoivoizana "manta" izay alaintsika sy atolotray ho an'ny fanadihadiana amin'ny rafitra famakafakana sasany,
- hetsika avy amin'ny fitaovana tambajotra izay mandalo ny fifamoivoizana,
- fampahalalana momba ny fifamoivoizana azo amin'ny alΓ lan'ny iray amin'ireo protocols flow.
Ny fisamborana ny fifamoivoizana manta no safidy malaza indrindra amin'ireo manampahaizana manokana momba ny fiarovana, satria niseho ara-tantara ary izy no voalohany indrindra. Ny rafitra fanaraha-maso ny fitsabahana amin'ny tambajotra mahazatra (ny rafitra fitsikilovana ara-barotra voalohany indrindra dia ny NetRanger avy amin'ny Vondrona Wheel, novidin'ny Cisco tamin'ny 1998) dia nandray anjara tamin'ny fisamborana fonosana (sy ny fotoam-pivoriana taty aoriana) izay nitadiavana sonia sasany (βfitsipika hentitraβ amin'ny FSTEC terminology), fanafihana famantarana. Mazava ho azy, azonao atao ny mamakafaka ny fifamoivoizana manta tsy amin'ny fampiasana IDS, fa amin'ny fampiasana fitaovana hafa (ohatra, Wireshark, tcpdum na ny fampiasa NBAR2 ao amin'ny Cisco IOS), fa matetika izy ireo dia tsy manana fototra fahalalana izay manavaka ny fitaovana fiarovana ny fampahalalana amin'ny mahazatra. fitaovana IT.
Noho izany, rafitra detection fanafihana. Ny fomba tranainy indrindra sy malaza indrindra hamantarana ny fanafihana amin'ny tambajotra, izay manao asa tsara amin'ny vakim-paritra (na inona na inona - orinasa, foibe angona, fizarana, sns.), Fa tsy mahomby amin'ny tambajotra maoderina sy voafaritry ny rindrambaiko. Raha ny tambajotra naorina amin'ny fototry ny switch mahazatra, ny foto-drafitrasa ny fanafihana detection sensor lasa lehibe loatra - tsy maintsy hametraka sensor isaky ny fifandraisana amin'ny node izay tianao hanaraha-maso ny fanafihana. Na iza na iza mpanamboatra, mazava ho azy, dia ho faly hivarotra anao sensor an-jatony sy an'arivony, saingy heveriko fa tsy afaka manohana ny fandaniana toy izany ny teti-bolanao. Afaka milaza aho fa na dia ao amin'ny Cisco (ary izahay no mpamorona ny NGIPS) dia tsy afaka manao izany izahay, na dia toa eo anoloantsika aza ny resaka vidiny. Tsy tokony hijoro aho - fanapahan-kevitray manokana izany. Ankoatra izany, ny fanontaniana mipetraka, ny fomba hampifandraisana ny sensor amin'ity dikan-teny ity? Any amin'ny banga? Ahoana raha tsy mahomby ny sensor? Mila mody bypass ao amin'ny sensor? Mampiasa splitter (tapa)? Izany rehetra izany dia mahatonga ny vahaolana ho lafo kokoa ary mahatonga azy ho tsy takatry ny saina ho an'ny orinasa na inona na inona habe.
Azonao atao ny manandrana "hantona" ny sensor amin'ny seranan-tsambo SPAN/RSPAN/ERSPAN ary mivantana ny fifamoivoizana avy amin'ny seranan-tsambo ilaina mankany aminy. Ity safidy ity dia manala amin'ny ampahany ny olana voalaza ao amin'ny andalana teo aloha, fa mametraka iray hafa - ny seranan-tsambo SPAN dia tsy afaka manaiky tanteraka ny fifamoivoizana rehetra halefa any - tsy hanana bandwidth ampy izy. Tsy maintsy manao sorona zavatra ianao. Na avelao ny sasany amin'ireo node tsy misy fanaraha-maso (dia mila manao laharam-pahamehana aloha ianao), na tsy mandefa ny fifamoivoizana rehetra avy amin'ny node, fa karazana iray ihany. Na ahoana na ahoana, dia mety tsy hahita fanafihana sasany isika. Ankoatra izany, ny seranan-tsambo SPAN dia azo ampiasaina amin'ny filana hafa. Vokatr'izany dia tsy maintsy mijery ny topolojian'ny tambajotra efa misy isika ary mety hanao fanitsiana amin'izany mba handrakotra ny tambajotranao amin'ny fara-tampony amin'ny isan'ny sensor anananao (ary mandrindra izany amin'ny IT).
Ahoana raha mampiasa lalana asymmetrika ny tambajotranao? Ahoana raha efa nampihatra na mikasa ny hampihatra SDN ianao? Ahoana raha mila manara-maso ny milina virtoaly na kaontenera izay tsy mahatratra ny switch ara-batana mihitsy ny fifamoivoizana? Fanontaniana tsy tian'ny mpivarotra IDS nentim-paharazana ireo satria tsy hainy ny mamaly azy. Angamba izy ireo handresy lahatra anao fa ireo teknolojia lamaody rehetra ireo dia hype ary tsy ilainao izany. Angamba izy ireo hiresaka momba ny ilaina ny manomboka kely. Na mety hilaza izy ireo fa mila mametraka thresher mahery ianao eo afovoan'ny tambajotra ary mitarika ny fifamoivoizana rehetra amin'izany amin'ny fampiasana balancers. Na inona na inona safidy atolotra anao, dia mila azonao tsara ny fomba mety aminao. Ary aorian'izay dia mandray fanapahan-kevitra amin'ny fisafidianana fomba fanaraha-maso ny fiarovana ny vaovao momba ny fotodrafitrasa tambajotra. Miverina amin'ny fisamborana packet, tiako ny milaza fa ity fomba ity dia mbola malaza sy manan-danja, fa ny tena tanjona dia ny fanaraha-maso ny sisintany; sisintany eo amin'ny fikambanana misy anao sy ny Internet, sisintany eo amin'ny foibe angon-drakitra sy ny sisa amin'ny tambajotra, sisintany eo amin'ny rafitra fanaraha-maso ny fizotrany sy ny fizarana orinasa. Any amin'ireo toerana ireo, ny IDS/IPS mahazatra dia mbola manan-jo hiaina sy hiatrika tsara ny asany.
Andao hiroso amin'ny safidy faharoa. Ny famakafakana ny zava-mitranga avy amin'ny fitaovan'ny tambajotra dia azo ampiasaina amin'ny tanjona fitadiavana fanafihana, fa tsy amin'ny maha-mekanika lehibe indrindra azy, satria tsy misy afa-tsy karazana fidiran-dresaka kely fotsiny. Fanampin'izany, dia misy fiantraikany amin'ny hetsika sasany - tsy maintsy mitranga aloha ny fanafihana, avy eo dia tsy maintsy voarakitra amin'ny alΓ lan'ny tambajotra tambajotra, izay amin'ny fomba iray na amin'ny fomba hafa dia hanambara olana amin'ny fiarovana ny vaovao. Misy fomba maro toy izany. Mety ho syslog, RMON na SNMP izany. Ny protocols roa farany amin'ny fanaraha-maso ny tambajotra amin'ny tontolon'ny fiarovana ny fampahalalana dia tsy ampiasaina raha tsy mila mamantatra ny fanafihana DoS amin'ny fitaovan'ny tambajotra ihany isika, satria amin'ny fampiasana RMON sy SNMP dia azo atao, ohatra, ny manara-maso ny enta-mavesatra eo amin'ny afovoan'ny fitaovana. processeur na interface tsara. Io no iray amin'ireo "mora indrindra" (ny tsirairay dia manana syslog na SNMP), fa koa ny tsy mahomby indrindra amin'ny fomba rehetra amin'ny fanaraha-maso ny fiarovana ny fampahalalam-baovao amin'ny fotodrafitrasa anatiny - maro ny fanafihana miafina ao anatiny. Mazava ho azy fa tsy tokony hatao tsinontsinona izy ireo, ary ny famakafakana syslog mitovy amin'izany dia manampy anao hamantatra ara-potoana ny fiovana eo amin'ny fanamafisana ny fitaovana, ny marimaritra iraisana amin'izany, saingy tsy dia mety loatra amin'ny fitadiavana fanafihana amin'ny tambajotra iray manontolo.
Ny safidy fahatelo dia ny famakafakana ny vaovao momba ny fifamoivoizana mandalo amin'ny fitaovana iray izay manohana ny iray amin'ireo protocols maromaro. Amin'ity tranga ity, na inona na inona protocole, ny fotodrafitrasa fametahana dia tsy maintsy misy singa telo:
- Famokarana na fanondranana tondra-drano. Ity andraikitra ity dia matetika omena amin'ny router, switch na fitaovana tambajotra hafa, izay, amin'ny alΓ lan'ny fampandehanana ny fifamoivoizana amin'ny tambajotra amin'ny tenany, dia ahafahanao manala ireo masontsivana manan-danja avy aminy, izay ampitaina amin'ny maody fanangonana. Ohatra, ny Cisco dia manohana ny protocol Netflow tsy amin'ny router sy switch, ao anatin'izany ny virtoaly sy indostrialy, fa koa amin'ny fanaraha-maso tsy misy tariby, ny firewall ary ny server.
- Fikorianan'ny fanangonana. Raha jerena fa matetika ny tambajotra maoderina dia manana fitaovana tambajotra mihoatra ny iray, dia mipoitra ny olana amin'ny fanangonana sy fanamafisana ny tondra-drano, izay voavaha amin'ny alΓ lan'ny antsoina hoe mpanangom-bokatra, izay manodina ny tondra-drano voaray ary avy eo mandefa azy ireo ho an'ny fanadihadiana.
- Famakafakana mikoriana Ny mpandinika dia mandray ny asa ara-tsaina lehibe indrindra ary, amin'ny fampiharana algorithms isan-karazany amin'ny streams, dia manao tsoa-kevitra sasantsasany. Ohatra, ao anatin'ny fiasa IT, ny mpanadihady toy izany dia afaka mamantatra ny tavoahangin-tambajotra na manadihady ny mombamomba ny enta-mavesatra ho an'ny fanatsarana ny tambajotra. Ary ho an'ny fiarovana ny fampahalalam-baovao, ny mpandinika toy izany dia afaka mamantatra ny fiparitahan'ny angona, ny fiparitahan'ny kaody ratsy na ny fanafihana DoS.
Aza mieritreritra fa sarotra loatra ity maritrano misy ambaratonga telo ity - ny safidy hafa rehetra (afa-tsy, angamba, ny rafitra fanaraha-maso tambajotra miasa miaraka amin'ny SNMP sy RMON) dia miasa araka izany. Manana mpamokatra angona ho an'ny famakafakana izahay, izay mety ho fitaovana tambajotra na sensor mitokana. Manana rafitra fanangonana fanairana sy rafitra fitantanana ny fotodrafitrasa fanaraha-maso manontolo izahay. Ny singa roa farany dia azo atambatra ao anaty node tokana, fa amin'ny tambajotra lehibe kokoa na latsaka dia miparitaka amin'ny fitaovana roa farafahakeliny izy ireo mba hiantohana ny fahamendrehana sy ny fahamendrehana.
Tsy toy ny famakafakana packet, izay mifototra amin'ny fandalinana ny loha-hevitra sy ny angon-drakitra momba ny fonosana tsirairay ary ny fotoam-pivoriana misy azy, ny famakafakana ny fikorianan'ny rivotra dia miankina amin'ny fanangonana metadata momba ny fifamoivoizana amin'ny tambajotra. Rahoviana, ohatrinona, avy aiza ary aiza, ahoana... ireo no fanontaniana voavaly amin'ny famakafakana ny telemetry amin'ny tambazotra mampiasa protocols samihafa. Tany am-boalohany dia nampiasaina hamakafaka ny antontan'isa izy ireo ary hahita olana amin'ny IT amin'ny tambajotra, fa avy eo, rehefa nivoatra ny mekanika famakafakana, dia nanjary azo natao ny nampihatra azy ireo tamin'ny telemetry mitovy ho an'ny fiarovana. Marihina indray fa tsy manolo na manolo ny fisamborana packet ny analyse de flow. Ny tsirairay amin'ireo fomba ireo dia manana ny faritra fampiharana azy. Saingy ao anatin'ity lahatsoratra ity dia ny famakafakana ny fikorianan'ny rivotra no mety indrindra amin'ny fanaraha-maso ny fotodrafitrasa anatiny. Manana fitaovana tambajotra ianao (na miasa amin'ny paradigma voafaritry ny rindrambaiko izy ireo na araka ny fitsipika static) izay tsy azon'ny fanafihana atao. Afaka mandingana sensor IDS mahazatra izy io, fa ny fitaovana tambajotra izay manohana ny protocol flow dia tsy afaka. Izany no tombony amin'ity fomba ity.
Amin'ny lafiny iray, raha mila porofo ho an'ny fampiharana ny lalΓ na ianao na ny ekipanao mpanadihady momba ny zava-nitranga, dia tsy afaka manao izany ianao raha tsy misy ny fisamborana fonosana - ny telemetry amin'ny tambajotra dia tsy dika mitovy amin'ny fifamoivoizana azo ampiasaina hanangonana porofo; ilaina amin'ny fitadiavana haingana sy fandraisana fanapahan-kevitra eo amin'ny sehatry ny fiarovana ny vaovao. Amin'ny lafiny iray, amin'ny fampiasana famakafakana telemetry dia azonao atao ny "manoratra" fa tsy ny fifamoivoizana amin'ny tambajotra rehetra (raha misy, Cisco dia mifandray amin'ny foibe data :-), fa izay tafiditra amin'ny fanafihana ihany. Ny fitaovana famakafakana telemetry amin'io lafiny io dia hameno tsara ny fomba fisamborana fonosana nentim-paharazana, manome baiko ho an'ny fisamborana sy fitehirizana voafantina. Raha tsy izany dia tsy maintsy manana fotodrafitrasa fitahirizana goavana ianao.
Alao sary an-tsaina ny tambajotra iray miasa amin'ny hafainganam-pandeha 250 Mbit/sec. Raha te-hitahiry an'io boky io ianao dia mila fitahirizana 31 MB mandritra ny iray segondra amin'ny fandefasana fifamoivoizana, 1,8 GB mandritra ny iray minitra, 108 GB mandritra ny adiny iray, ary 2,6 TB mandritra ny iray andro. Mba hitehirizana angona isan'andro avy amin'ny tambajotra manana bandwidth 10 Gbit/s dia mila fitahirizana 108 TB ianao. Saingy ny mpandrindra sasany dia mitaky ny fitahirizana ny angon-drakitra fiarovana mandritra ny taona maro... Ny firaketana an-tsoratra, izay manampy anao hampihatra ny famakafakana ny fikorianan'ny rivotra, dia manampy amin'ny fampihenana ireo soatoavina ireo amin'ny alΓ lan'ny halehiben'ny habeny. Raha ny marina, raha miresaka momba ny tahan'ny angon-drakitra telemetry amin'ny tamba-jotra voarakitra sy ny fisamborana ny angon-drakitra feno, dia eo amin'ny 1 ka hatramin'ny 500 eo ho eo izany. dia ho 5 sy 216 GB, tsirairay avy (azonao atao ny mirakitra izany amin'ny kapila tselatra mahazatra).
Raha ho an'ny fitaovana famakafakana ny angon-drakitra tambajotra manta, ny fomba fisamborana azy dia saika mitovy amin'ny mpivarotra amin'ny mpivarotra, dia hafa ny toe-javatra amin'ny famakafakana ny fandehanana. Misy safidy maromaro ho an'ny protocols flow, ny fahasamihafana tokony ho fantatrao momba ny tontolon'ny fiarovana. Ny malaza indrindra dia ny protocol Netflow novolavolain'ny Cisco. Misy dikan-teny maromaro amin'ity protocol ity, tsy mitovy amin'ny fahaizany sy ny habetsaky ny fampahalalana momba ny fifamoivoizana voarakitra. Ny dikan-teny amin'izao fotoana izao dia ny fahasivy (Netflow v9), izay niorenan'ny indostrian'ny Netflow v10, antsoina koa hoe IPFIX. Ankehitriny, ny ankamaroan'ny mpivarotra tambajotra dia manohana ny Netflow na IPFIX amin'ny fitaovany. Saingy misy safidy hafa isan-karazany ho an'ny protocols flow - sFlow, jFlow, cFlow, rFlow, NetStream, sns, izay sFlow no malaza indrindra. Io karazana io no tohanan'ny mpanamboatra an-trano fitaovana tambajotra matetika noho ny fanamorana ny fampiharana azy. Inona avy ireo fahasamihafana lehibe misy eo amin'ny Netflow, izay lasa fenitra de facto, sy ny sFlow? Hanasongadina ireo manan-danja maromaro aho. Voalohany, manana saha azo amboarina amin'ny mpampiasa ny Netflow fa mifanohitra amin'ny saha raikitra ao amin'ny sFlow. Ary faharoa, ary ity no zava-dehibe indrindra amin'ny tranga misy antsika, ny sFlow dia manangona ilay antsoina hoe telemetry santionany; mifanohitra amin'ny tsy misy santionany ho an'ny Netflow sy IPFIX. Inona no maha samy hafa azy ireo?
Alao sary an-tsaina hoe manapa-kevitra ny hamaky ilay boky ianao ββ an'ireo mpiara-miasa amiko - Gary McIntyre, Joseph Munitz ary Nadem Alfardan (azonao alaina avy amin'ny rohy ny ampahany amin'ilay boky). Manana safidy telo hanatratrarana ny tanjonao ianao - vakio ny boky iray manontolo, tsidiho izany, atsaharo isaky ny pejy faha-10 na faha-20, na andramo mitady famerenana ny hevitra fototra ao amin'ny bilaogy na serivisy toy ny SmartReading. Noho izany, ny telemetry tsy misy santionany dia mamaky ny "pejy" rehetra amin'ny fifamoivoizana amin'ny tambajotra, izany hoe ny famakafakana metadata ho an'ny fonosana tsirairay. Telemetry santionany dia fandalinana mifantina ny fifamoivoizana amin'ny fanantenana fa ny santionany voafantina dia ahitana izay ilainao. Miankina amin'ny hafainganam-pandehan'ny fantsona, ny telemetry santionany dia halefa ho an'ny famakafakana isaky ny fonosana faha-64, faha-200, faha-500, faha-1000, faha-2000 na faha-10000 aza.
Ao anatin'ny tontolon'ny fanaraha-maso ny fiarovana ny fampahalalam-baovao, midika izany fa ny telemetry santionany dia mifanentana tsara amin'ny fijerena ny fanafihana DDoS, ny fitarafana, ary ny fanaparitahana kaody ratsy, saingy mety tsy mahita fanafihana atomika na multi-packet izay tsy tafiditra ao amin'ny santionany nalefa ho an'ny fanadihadiana. Ny telemetry tsy misy santionany dia tsy manana fatiantoka toy izany. Miaraka amin'izany dia midadasika kokoa ny isan'ny fanafihana hita. Ity misy lisitra fohy momba ny hetsika azo tsikaritra amin'ny fampiasana fitaovana famakafakana telemetry amin'ny tambajotra.
Mazava ho azy fa tsy hamela anao hanao izany ny mpandinika Netflow loharano misokatra, satria ny tena asany dia ny manangona telemetry sy manao famakafakana fototra momba izany amin'ny fomba fijery IT. Mba hamantarana ny fandrahonana fiarovana ny fampahalalam-baovao mifototra amin'ny fikorianan'ny dia ilaina ny hampitaovana ny mpanadihady amin'ny maotera sy algorithm isan-karazany, izay hamantatra ny olana momba ny cybersecurity mifototra amin'ny sehatra Netflow mahazatra na mahazatra, hanatsara ny angon-drakitra mahazatra miaraka amin'ny angon-drakitra ivelany avy amin'ny loharanom-baovao isan-karazany Threat Intelligence, sns.
Noho izany, raha manana safidy ianao dia mifidiana Netflow na IPFIX. Saingy na dia tsy miasa afa-tsy amin'ny sFlow ny fitaovanao, toy ny mpanamboatra an-trano, na amin'ity tranga ity aza dia afaka mandray soa avy amin'izany ianao amin'ny tontolon'ny fiarovana.
Tamin'ny fahavaratry ny taona 2019, nandinika ny fahaiza-manaon'ny mpanamboatra fitaovana tambajotra Rosiana aho ary izy rehetra, tsy anisan'izany ny NSG, Polygon ary Craftway, dia nanambara ny fanohanana ny sFlow (farafaharatsiny Zelax, Natex, Eltex, QTech, Rusteleteh).
Ny fanontaniana manaraka hatrehinao dia hoe aiza no hametrahana fanohanana mikoriana ho an'ny tanjona fiarovana? Raha ny marina, tsy voapetraka amin'ny fomba marina ny fanontaniana. Ny fitaovana maoderina dia saika manohana ny protocols flow. Noho izany, hanova ny fanontaniana amin'ny fomba hafa aho - aiza no mahomby indrindra amin'ny fanangonana telemetry amin'ny fomba fijery fiarovana? Ny valiny dia ho hita miharihary - amin'ny ambaratonga fidirana, izay ahitanao ny 100% amin'ny fifamoivoizana rehetra, izay hahitanao fampahalalana amin'ny antsipiriany momba ny mpampiantrano (MAC, VLAN, ID ID), izay ahafahanao manara-maso ny fifamoivoizana P2P eo anelanelan'ny mpampiantrano, izay tena ilaina amin'ny fitarafana ny fitadiavana sy ny fizarana kaody ratsy. Amin'ny ambaratonga fototra, mety tsy ho hitanao tsotra izao ny sasany amin'ny fifamoivoizana, fa amin'ny haavon'ny perimeter dia ho hitanao ny ampahefatry ny fifamoivoizana amin'ny tambajotra rehetra. Fa raha noho ny antony sasany dia manana fitaovana vahiny ao amin'ny tambajotranao izay mamela ny mpanafika "hiditra sy hivoaka" nefa tsy mandalo ny perimeter, dia tsy hanome anao na inona na inona ny famakafakana ny telemetry avy aminy. Noho izany, ho an'ny fandrakofana ambony indrindra, dia asaina manome alalana ny fanangonana telemetry amin'ny haavon'ny fidirana. Amin'izay fotoana izay ihany koa dia tsara ny manamarika fa na dia miresaka momba ny virtoaly na container aza isika, dia matetika hita ao amin'ny switch virtoaly maoderina koa ny fanohanana mikoriana, izay ahafahanao mifehy ny fifamoivoizana any koa.
Saingy hatramin'ny nananganako ilay lohahevitra dia mila mamaly ny fanontaniana aho: ahoana raha tsy manohana ny protocols ny fitaovana, ara-batana na virtoaly? Sa voarara ny fampidirana azy (ohatra, amin'ny sehatra indostrialy mba hiantohana ny fahamendrehana)? Sa mitarika ho amin'ny enta-mavesatra CPU be ny fampidinana azy (mitranga amin'ny fitaovana tranainy kokoa izany)? Mba hamahana ity olana ity, dia misy sensor virtoaly manokana (famantarana mikoriana), izay tena mpizara tsotra izay mandalo ny fifamoivoizana amin'ny tenany ary mandefa izany amin'ny endrika fikorianan'ny mody fanangonana. Marina fa amin'ity tranga ity dia mahazo ny olana rehetra noresahina etsy ambony momba ny fitaovana fisamborana fonosana. Izany hoe, mila mahatakatra ny tombony amin'ny teknolojia famakafakana mikoriana ianao, fa ny fetrany ihany koa.
Hevi-dehibe iray hafa tokony hotadidina rehefa miresaka momba ny fitaovana famakafakana ny fikorianan'ny rano. Raha mifandray amin'ny fomba mahazatra amin'ny famoronana hetsika fiarovana isika dia mampiasa ny EPS metrika (hetsika isan-tsegondra), dia tsy azo ampiharina amin'ny famakafakana telemetry izany famantarana izany; nosoloina FPS (flow per second). Toy ny amin'ny EPS, tsy azo kajy mialoha izany, fa azonao atao ny manombatombana ny isan'ny kofehy izay ateraky ny fitaovana iray arakaraka ny asany. Azonao atao ny mahita tabilao amin'ny Internet miaraka amin'ny sanda tombantombana ho an'ny karazana fitaovana sy fepetra samihafa, izay ahafahanao manombatombana izay fahazoan-dΓ lana ilainao amin'ny fitaovana famakafakana ary inona no ho maritrano? Ny zava-misy dia ny sensor IDS dia voafetra amin'ny bandwidth iray izay azony "misintona", ary ny mpanangona mikoriana dia manana fetrany izay tsy maintsy takarina. Noho izany, amin'ny tambajotra lehibe, mizara ara-jeografika matetika dia misy mpanangona maromaro. Rehefa nitantara aho , Efa nomeko ny isan'ny mpanangona anay - misy 21 izy ireo. Ary izany dia ho an'ny tambajotra miparitaka amin'ny kaontinanta dimy ary mahatratra antsasa-tapitrisa eo ho eo ny fitaovana mavitrika).
Mampiasa ny vahaolanay manokana izahay ho rafitra fanaraha-maso Netflow , izay miompana manokana amin'ny famahana olana ara-piarovana. Manana motera naorina maro izy io mba hamantarana ny hetsika tsy fahita firy, mampiahiahy ary mazava tsara, izay ahafahanao mamantatra karazana fandrahonana isan-karazany - manomboka amin'ny cryptomining ka hatramin'ny famoahan-baovao, manomboka amin'ny fiparitahan'ny kaody ratsy ka hatramin'ny hosoka. Toy ny ankamaroan'ny mpanadihady mikoriana, Stealthwatch dia naorina araka ny rafitra telo-ambaratonga (generator - mpanangona - analyser), fa ampiana amin'ny endri-javatra mahaliana maromaro izay manan-danja amin'ny tontolon'ny fitaovana dinihina. Voalohany, ampifandraisina amin'ny vahaolana fisamborana fonosana (toy ny Cisco Security Packet Analyzer), izay ahafahanao mirakitra an-tsoratra ireo fivoriana voafantina ho an'ny fanadihadiana sy famakafakana lalina any aoriana. Faharoa, indrindra amin'ny fanitarana ny asa fiarovana, dia namolavola protocol nvzFlow manokana izahay, izay ahafahanao "mampiely" ny asan'ny rindranasa amin'ny node farany (servers, workstations, sns.) mankany amin'ny telemetry ary mampita izany amin'ny mpanangona ho an'ny fanadihadiana bebe kokoa. Raha ao amin'ny dikan-teny voalohany Stealthwatch dia miasa miaraka amin'ny protocole mikoriana rehetra (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) amin'ny haavon'ny tambajotra, ny fanohanana nvzFlow dia mamela ny fifamatorana amin'ny angon-drakitra ihany koa amin'ny ambaratonga node, noho izany. mampitombo ny fahombiazan'ny rafitra iray manontolo ary mahita fanafihana bebe kokoa noho ny mpanadihady fikorianan'ny tambajotra mahazatra.
Mazava fa rehefa miresaka momba ny rafitra famakafakana Netflow amin'ny lafiny fiarovana, ny tsena dia tsy voafetra amin'ny vahaolana tokana avy amin'ny Cisco. Afaka mampiasa vahaolana ara-barotra sy maimaimpoana na shareware ianao. Hafahafa ihany raha mitanisa ohatra ao amin'ny bilaogy Cisco ny vahaolana ho an'ny mpifaninana, noho izany dia hilaza teny vitsivitsy momba ny fomba famakafakana ny telemetry amin'ny tambazotra aho amin'ny fampiasana fitaovana roa malaza, mitovy anarana, nefa mbola samy hafa - SiLK sy ELK.
Ny SiLK dia fitaovana iray (Rafitra ho an'ny Fahalalana Aterineto) ho an'ny famakafakana ny fifamoivoizana, novolavolain'ny American CERT/CC ary manohana, ao anatin'ny tontolon'ny lahatsoratra anio, Netflow (faha-5 sy faha-9, dikan-teny malaza indrindra), IPFIX ary sFlow ary mampiasa fitaovana isan-karazany (rwfilter, rwcount, rwflowpack, sns.) mba hanaovana asa isan-karazany amin'ny telemetri-tambajotra mba hamantarana ireo famantarana ny hetsika tsy nahazoana alalana ao anatiny. Saingy misy teboka lehibe roa tokony homarihina. SiLK dia fitaovana andalana baiko izay manao famakafakana an-tserasera amin'ny fampidirana baiko toy izao (famantarana ny fonosana ICMP mihoatra ny 200 bytes):
rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15
tsy dia mahazo aina. Azonao atao ny mampiasa ny GUI iSiLK, saingy tsy hanamora ny fiainanao izany, fa ny famahana ny fiasan'ny visualization fotsiny fa tsy ny fanoloana ny mpandalina. Ary ity no teboka faharoa. Tsy toy ny vahaolana ara-barotra, izay efa manana fototra famakafakana mafy, algorithm detection anomaly, workflow mifanaraka amin'izany, sns., Raha ny SiLK dia tsy maintsy manao izany rehetra izany ianao, izay mitaky fahaiza-manao hafa kely avy aminao noho ny fampiasana efa vonona- fitaovana ampiasaina. Tsy tsara na ratsy izany - saika misy fitaovana maimaim-poana izay mihevitra fa fantatrao ny tokony hatao, ary hanampy anao amin'izany ihany (ny fitaovana ara-barotra dia tsy miankina amin'ny fahaiza-manaon'ny mpampiasa azy, na dia mihevitra aza izy ireo fa izay azon'ny mpandinika farafaharatsiny ny fototry ny fanadihadiana sy ny fanaraha-maso ny tambajotra). Fa andao hiverina amin'ny SiLK. Ny tsingerin'ny asan'ny mpandinika miaraka aminy dia toy izao:
- Famolavolana petra-kevitra. Tsy maintsy takatsika ny zavatra hotadiavintsika ao anatin'ny telemetry amin'ny tambajotra, fantaro ireo toetra tsy manam-paharoa izay hamantarana ny tsy mety na fandrahonana sasany.
- Manangana modely. Rehefa avy namolavola petra-kevitra izahay, dia manamboatra azy io amin'ny fampiasana Python, akorandriaka na fitaovana hafa tsy tafiditra ao amin'ny SiLK.
- Fitsapana. Tonga ny anjarany hanamarina ny fahamarinan'ny petra-kevitray, izay voamarina na nolavina amin'ny fampiasana fitaovana SiLK manomboka amin'ny 'rw', 'set', 'bag'.
- Famakafakana ny angona tena izy. Amin'ny asa indostrialy, ny SiLK dia manampy antsika hamantatra zavatra ary ny mpandinika dia tsy maintsy mamaly ireo fanontaniana hoe "Nahita izay nantenainay ve izahay?", "Mifanaraka amin'ny petra-kevitray ve izany?", "Ahoana no hampihenana ny isan'ny diso?", "Ahoana ny fomba hanatsara ny haavon'ny fankatoavana? Β» sy ny sisa.
- Fanatsarana. Amin'ny dingana farany, manatsara ny zavatra natao teo aloha izahay - mamorona mΓ΄dely, manatsara sy manatsara ny code, manavao sy manazava ny vinavina, sns.
Ity tsingerina ity dia azo ampiharina amin'ny Cisco Stealthwatch ihany koa, ny farany ihany no manara-maso ireo dingana dimy ireo amin'ny fara-tampony, mampihena ny isan'ny lesoka amin'ny mpandinika ary mampitombo ny fahombiazan'ny fisavana zava-nitranga. Ohatra, ao amin'ny SiLK dia azonao atao ny manatsara ny antontan'isa amin'ny tambajotra miaraka amin'ny angon-drakitra ivelany amin'ny IP maloto amin'ny fampiasana sora-tanana nosoratana tanana, ary ao amin'ny Cisco Stealthwatch dia fiasa namboarina izay mampiseho avy hatrany ny fanairana raha misy fifandraisana amin'ny adiresy IP avy amin'ny lisitra mainty ny fifamoivoizana amin'ny tambajotra.
Raha miakatra avo kokoa amin'ny piramida "karama" ho an'ny rindrambaiko famakafakana mikoriana ianao, dia aorian'ny SiLK maimaim-poana tanteraka dia hisy ELK shareware, ahitana singa manan-danja telo - Elasticsearch (fanondroana, fikarohana ary famakafakana data), Logstash (data input / output ) sy Kibana (vitsika). Tsy toy ny SiLK, izay tsy maintsy manoratra ny zava-drehetra amin'ny tenanao manokana, ny ELK dia efa manana tranomboky / modules efa vonona (ny sasany karama, ny sasany tsy) izay manao automatique ny famakafakana ny telemetry amin'ny tambajotra. Ohatra, ny sivana GeoIP ao amin'ny Logstash dia ahafahanao mampifandray ny adiresy IP voaara-maso amin'ny toerana ara-jeografika azy (ny Stealthwatch dia manana io endri-javatra io).
ELK ihany koa dia manana vondrom-piarahamonina midadasika izay mameno ireo singa tsy hita amin'ity vahaolana fanaraha-maso ity. Ohatra, raha miasa amin'ny Netflow, IPFIX ary sFlow ianao dia afaka mampiasa ny maody , raha tsy afa-po amin'ny Logstash Netflow Module ianao, izay manohana ny Netflow ihany.
Na dia manome fahombiazana bebe kokoa amin'ny fanangonana ny fikorianan'ny rivotra sy ny fikarohana ao aza, ny ELK amin'izao fotoana izao dia tsy manana analyse manan-karena amin'ny fitadiavana ny tsy mety sy ny fandrahonana amin'ny telemetry amin'ny tambajotra. Izany hoe, manaraka ny tsingerin'ny fiainana voalaza etsy ambony, dia tsy maintsy mamaritra tsy miankina modely fanitsakitsahana ary avy eo dia mampiasa izany ao amin'ny ady rafitra (tsy misy naorina-in modely ao).
Misy, mazava ho azy, ny fanitarana be pitsiny kokoa ho an'ny ELK, izay efa misy modely sasany mba hamantarana ny anomalies amin'ny tambajotra telemetry, fa ny fanitarana toy izany dia mitentina vola ary eto ny fanontaniana dia ny hoe ny lalao dia mendrika ny labozia - manorata modely mitovy amin'ny tenanao, mividy azy. fampiharana ho an'ny fitaovana fanaraha-maso anao, na mividiana vahaolana efa vita amin'ny kilasin'ny Network Traffic Analysis.
Amin'ny ankapobeny, tsy te-hiditra amin'ny adihevitra aho fa tsara kokoa ny mandany vola sy mividy vahaolana efa vita amin'ny fanaraha-maso ny tsy fetezana sy ny fandrahonana amin'ny telemetry amin'ny tambajotra (ohatra, Cisco Stealthwatch) na hamantatra izany amin'ny tenanao ary amboary izany. SiLK, ELK na nfdump na OSU Flow Tools isaky ny fandrahonana vaovao (miresaka momba ny roa farany amin'izy ireo aho tamin'ny fotoana farany)? Samy misafidy ho azy ny tsirairay ary samy manana ny antony isafidianany ny tsirairay amin'ireo safidy roa ireo. Te-hampiseho fotsiny aho fa ny telemetry amin'ny tambajotra dia fitaovana tena ilaina amin'ny fiantohana ny fiarovana ny tambajotra ao amin'ny fotodrafitrasa anatiny ary tsy tokony hatao tsirambina izany, mba tsy hiditra ao amin'ny lisitry ny orinasa izay voatonona ao amin'ny media miaraka amin'ny epithets " hacked", "tsy mifanaraka amin'ny fepetra fiarovana amin'ny fampahalalana" ", "tsy mieritreritra ny fiarovana ny angon-dry zareo sy ny angon-drakitra mpanjifa."
Raha fintinina dia tiako ny mitanisa ireo toro-hevitra fototra tokony harahinao rehefa manorina fanaraha-maso ny fiarovana ny vaovao momba ny fotodrafitrasa anatiny:
- Aza mametra ny tenanao amin'ny perimeter fotsiny! Ampiasao (ary safidio) ny fotodrafitrasa amin'ny tambajotra mba tsy hamindra ny fifamoivoizana avy amin'ny teboka A mankany amin'ny teboka B, fa koa mba hamahana ny olana momba ny fiarovana an-tserasera.
- Halalino ny rafitra fanaraha-maso fiarovana ny fampahalalam-baovao misy ao amin'ny fitaovan'ny tambajotranao ary ampiasao izany.
- Ho an'ny fanaraha-maso anatiny, omeo safidy ny famakafakana telemetry - mamela anao hamantatra hatramin'ny 80-90% amin'ny tranga rehetra momba ny fiarovana ny fampahalalana amin'ny tambajotra, ary manao izay tsy azo atao rehefa maka ny fonosana tambajotra ary mitahiry toerana hitehirizana ny hetsika fiarovana rehetra.
- Mba hanaraha-maso ny fikorianan'ny, ampiasao ny Netflow v9 na IPFIX - manome fampahalalana bebe kokoa amin'ny tontolon'ny fiarovana izy ireo ary mamela anao hanara-maso tsy ny IPv4 ihany, fa koa ny IPv6, MPLS, sns.
- MampiasΓ protocole mikoriana tsy misy santionany - manome fampahalalana bebe kokoa momba ny fandrahonana izany. Ohatra, Netflow na IPFIX.
- Jereo ny enta-mavesatra eo amin'ny fitaovan'ny tambajotranao - mety tsy ho zakany koa ny protocole mikoriana. Dia diniho ny fampiasana sensor virtoaly na Netflow Generation Appliance.
- Ampiharo ny fanaraha-maso voalohany indrindra amin'ny ambaratonga fidirana - izany dia hanome anao fahafahana hahita 100% amin'ny fifamoivoizana rehetra.
- Raha tsy manan-tsafidy ianao ary mampiasa fitaovan'ny tambajotra rosiana dia mifidiana iray izay manohana ny protocols flow na manana seranana SPAN/RSPAN.
- Ampifandraiso ny rafitra fitsikilovana/fanafihana/fisorohana eo amin'ny sisiny sy ny rafitra famakafakana ny fikorianan'ny tambajotra anatiny (anisan'izany ny rahona).
Momba ny soso-kevitra farany dia te-hanome fanoharana izay efa nomeko teo aloha aho. Hitanao fa raha teo aloha ny sampan-draharahan'ny fiarovana ny fampahalalam-baovao Cisco dia saika nanangana ny rafitra fanaraha-maso ny fiarovana ny fampahalalam-baovao mifototra amin'ny rafitra fitsikilovana fidirana sy ny fomba sonia, ankehitriny dia tsy misy afa-tsy 20% amin'ny tranga izy ireo. Ny 20% hafa dia mianjera amin'ny rafitra famakafakana ny fikorianan'ny rivotra, izay milaza fa ireo vahaolana ireo dia tsy kisendrasendra, fa fitaovana tena izy amin'ny asan'ny serivisy fiarovana amin'ny fampahalalana an'ny orinasa maoderina. Ambonin'izany, manana ny zava-dehibe indrindra amin'ny fampiharana azy ireo ianao - fotodrafitrasa tambajotra, fampiasam-bola izay azo arovana bebe kokoa amin'ny alΓ lan'ny fanendrena ny asa fanaraha-maso ny fiarovana ny vaovao amin'ny tambajotra.
Tsy nokasihiko manokana ny lohahevitra momba ny famaliana ny tsy mety na ny fandrahonana hita amin'ny fikorianan'ny tambajotra, fa heveriko fa efa mazava tsara fa ny fanaraha-maso dia tsy tokony hiafara amin'ny fandrahonana fotsiny. Tokony harahin'ny valinteny izany ary aleo amin'ny fomba mandeha ho azy na mandeha ho azy. Lohahevitra ho an'ny lahatsoratra mitokana anefa ity.
Fampahalalana fanampiny:
PS. Raha mora kokoa aminao ny mandre izay rehetra voasoratra etsy ambony, dia azonao atao ny mijery ny famelabelarana maharitra adiny iray izay fototry ny naoty.
Source: www.habr.com